DFCI steht für „Device Firmware Configuration Interface“ und meint die Verwaltung von UEFI Einstellungen, ohne das Gerät zu berühren (zero touch). Um ein Gerät in unserem Netzwerk zu betreiben, habe ich bisher die Firmware resp. das UEFI manuell mit einem Passwort versehen und einige Einstellungen vorgenommen.

Wenn man ein Surface ohne geschütztes UEFI abgibt, könnte eine Schülerin oder ein Schüler selber ein UEFI Passwort setzen (vgl. diesen Beitrag und diesen Beitrag). Anders als früher (z.B. Jumper auf dem Mainboard) gibt es keine Möglichkeit, das Passwort wieder zurückzusetzen. Eine Schülerin oder ein Schüler könnte also das Gerät unbrauchbar machen (z.B. durch deaktivieren von WLAN und Kamera) und dann diese Einstellungen mit einem Passwort schützen und die Schule hätte keine Chance, ein so teures Gerät wieder funktionsfähig zu machen.

Aber in Zeiten von Autopilot (vgl. diesen Beitrag) ist es mühsam, bei jedem Gerät die UEFI Einstellungen manuell vorzunehmen, wenn alles andere vollautomatisch abläuft. Dies hat auch Microsoft erkannt und eben DFCI ins Leben gerufen. Microsoft möchte mit den grossen Anbietern von Hardware zusammenarbeiten, um DFCI für möglichst viele Geräte anzubieten. Im Moment funktioniert es bei uns für das Surface Pro 7.

Nächstes Jahr kaufen wir voraussichtlich über 400 Geräte, zum ersten Mal auch für einen ganzen Jahrgang Schülerinnen und Schüler als 1:1 Ausstattung. Dank DFCI ist es nun möglich, die Geräte (im Moment werden erst Surfaces unterstützt) direkt an die Schülerinnen und Schüler zu liefern. Diese können dann selber ausgepackt und mit den mitgelieferten Namensetiketten (gemäss Seriennummer) beschriftet werden. Der Rest läuft automatisch über Intune. Dies bedeutet eine riesige Arbeitsersparnis für die IT Abteilung (also mich ;-))

Es gibt ein paar Voraussetzungen, die erfüllt sein müssen:

• Die Geräte müssen durch einen Microsoft Cloud Solution Provider (CSP) partner oder OEM registriert worden sein.
• Es muss ein Autopilot Profile für die Geräte vorhanden sein.
• Eine „Enrollment Status Page“ (ESP) muss konfiguriert und zugewisen sein.

Wenn das alles vorhanden ist, kann man über „Devices“ -> „Configuration profiles“ -> „Create profile“ ein DFCI Profil erstellen.

Für das Profil wählt man „Windows 10 and later“ -> „Device Firmware Configuration Interface“.

Wichtig ist die Einstellung „Allow local user to change UEFI settings“. Diese muss von „Only not configured settings“ auf „none“ umgestellt werden.

Wenn alles klappt, steht im UEFI „Some settings are managed by your organization“ und das wichtigste Ziel ist erreicht: Schülerinnen und Schüler können selber nichts mehr verändern und vor allem kein eigenes UEFI Passwort setzen.

Wichtig zu wissen

Bei dem ganzen Prozess ist man darauf angewiesen, dass der Partner (CSP) die Geräte richtig registriert hat. Es ist sogar möglich, dass sie richtig für Autopilot, aber falsch für DFCI registriert wurden. Man hat dann gar keine Chance, herauszufinden, dass der Fehler nicht bei einem selber liegt. Ich habe einen Support Case bei Microsoft eröffnet, aber auch bei Twitter und bei den Microsoft Q&A Seiten um Hilfe gebeten. Auf Twitter ist dann auch der entscheidende Hinweis gekommen. Das ganze Problem hat mich Dutzende Stunden gekostet. Aus diesem Grund habe ich auch ans MEM Team zurückgemeldet, dass es gut wäre, wenn in Intune unter „Devices“ -> „Windows“ -> „Windows enrollment“ -> „Devices“ eine zusätzliche Spalte „DFCI enabled“ (oder so ähnlich) angezeigt würde – oder noch besser, wenn ein Partner die Geräte gar nicht falsch registrieren könnte. Mal schauen…